Cryptographie conforme à la norme FIPS
Cryptographie conforme à la norme FIPS
Client Automation prend en charge la cryptographie conforme à la norme FIPS dans deux modes : Préférence FIPS et FIPS uniquement. Vous pouvez passer en mode FIPS uniquement après la mise à niveau de tous les composants de votre infrastructure ou lorsqu'ils fonctionnent tous en mode Préférence FIPS.- Vous pouvez revenir au mode
Préférence FIPS, si nécessaire.
Informations complémentaires :
Prise en charge de la norme FIPS 140-2 (page 86)
Avant de passer à un autre mode FIPS
Avant de changer le mode FIPS de votre infrastructure Client Automation, vous devez prendre en compte les conditions de fonctionnement dans les différents modes FIPS.
Cette section répertorie les remarques et les conditions préalables qui s'appliquent avant de modifier le mode FIPS.
Utilisation de plusieurs modes FIPS
Les restrictions suivantes s'appliquent aux infrastructures Client Automation qui fonctionnent dans plusieurs modes FIPS, avec certains composants en mode Préférence
FIPS et d'autres en mode FIPS uniquement :
■
Certaines fonctionnalités OSIM peuvent ne pas fonctionner correctement lorsque les composants suivants communiquent entre eux :
–
Gestionnaire de domaines en mode Préférence FIPS et serveur de modularité en mode FIPS uniquement
–
Gestionnaire d'entreprise en mode Préférence FIPS et gestionnaire de domaines en mode FIPS uniquement
■
Echec de la communication entre les composants suivants :
–
Composants Client Automation r12 et composants DSM en mode FIPS uniquement
Chapitre 11: Fonctionnalités de sécurité Client Automation 453
Cryptographie conforme à la norme FIPS
Les remarques suivantes concernent la liaison d'un gestionnaire de domaines vers un gestionnaire d'entreprise :
■
Vous pouvez relier uniquement des gestionnaires de domaines utilisant le mode
FIPS uniquement à un gestionnaire d'entreprise utilisant le mode FIPS uniquement.
■
Vous ne pouvez pas effectuer de liaison si les modes Préférence FIPS (prêt pour le mode FIPS uniquement) ou Préférence FIPS (erreur lors de -l'exécution de dsm_fips_conv) sont définis sur le gestionnaire de domaines ou d'entreprise.
■
Si le mode Préférence FIPS est défini sur le gestionnaire d'entreprise, vous pouvez le relier à des gestionnaires de domaines configurés pour les modes Préférence FIPS ou hérités.
Mode Préférence FIPS et mode FIPS uniquement
Les opérations ou fonctionnalités suivantes ne sont pas prises en charge après le passage du mode Préférence FIPS au mode FIPS uniquement :
■
Filtres de chiffrement PLAIN et CACRYPT pour le DTS
■
Fonctionnalité ADT des transferts fiables et des domaines DTS
■
Transfert DTS utilisant la multidiffusion ou la diffusion vers un groupe d'ordinateurs fonctionnant à la fois en mode FIPS uniquement et en mode hérité
■
Création et ouverture de fichiers DNA chiffrés à l'aide d'un mot de passe
■
Utilisation d'un environnement d'exploitation hérité et d'images de démarrage qui n'ont pas encore été mis à niveau Pour plus d'informations sur la mise à niveau d'images, consultez le Manuel d'administration du système de gestion des
installations de systèmes d'exploitation.
Configuration requise
Vous devez vérifier que vous avez effectué les opérations suivantes avant de passer à un autre mode FIPS :
■
Si vous procédez à la mise à niveau d'un cluster, désactivez le démarrage automatique de Client Automation sur tous les noeuds d'un cluster avant de le mettre à niveau. Vous pouvez activer les services une fois que tous les noeuds du cluster ont été mis à niveau.
■
Fermez toutes les instances de l'explorateur DSM (local et distant), de la console
Web et des sessions CLI lorsque vous exécutez l'utilitaire de conversion ; ouvrez de nouvelles instances de ces éléments uniquement lorsque l'exécution de l'utilitaire de conversion a pris fin.
■
Vérifiez que toutes les stratégies de configuration des gestionnaires d'entreprise et de domaines sont scellées.
454 Manuel d'implémentation
